Saluton, karaj legantoj de la blogo de TS Solution, ni daŭrigas la serion de artikoloj por NGFW CheckPoint-solvoj en la SMB-segmento. Por komforto, vi povas konatiĝi kun la modelo-gamo, studi la karakterizaĵojn kaj kapablojn en , tiam ni sugestas turni sin al malpakado kaj komenca agordo uzante la ekzemplon de reala 1590 Check Point-ekipaĵo en .
Por tiuj, kiuj ĵus konatiĝas kun la modelo-gamo SMB - taŭga por malgrandaj oficejoj aŭ filioj de ĝis 200 homoj (elektante modelon 1590). Unu el la karakterizaĵoj de ĉi tiu familio estas subteno por sendrata komunikado; tio povas esti utila kiam la infrastrukturo havas aparatojn kiuj havas WiFi-adaptilon aŭ NGFW bezonas retaliron per moveblaj komunikadoj. Por la listigitaj taskoj vi bezonos teknologiojn: WiFi, LTE. Ĉi tiu artikolo temas pri tio, kie ni rigardos:
- Ebligi kaj agordi la NGFW WiFi-reĝimon.
- Ebligi kaj agordi la operacian reĝimon LTE de la NGFW.
- Ĝeneralaj konkludoj pri sendrataj teknologioj por NGFW.
NGFW kaj WiFi
Se ni revenos al parto 2 de nia serio, ni lasis la opcion por sendrata konekto de uzanto malŝaltita, do vi devas iri al la langeto Aparato → Reto → Sendrata
En la ekrankopio, kiun mi provizis, estas du eblaj WiFi-funkciaj reĝimoj:
- 2.4 GHz estas frekvenco subtenata de plej multaj generacioj de diversaj sendrataj aparatoj.
- 5 GHz estas frekvenco kiu estas la moderna normo por labori kun sendrataj aparatoj; subteno troviĝas en ĉiuj modernaj inteligentaj telefonoj, tabulkomputiloj kaj tekkomputiloj.
Ankaŭ de la ekrankopio (supre) vi povas rimarki, ke mi jam ebligis la 5 GHz-funkcian reĝimon, ni kune starigu 2.4 GHz, por fari tion, alklaku la butonon "Agordu".
En la fenestro de kreado de alirpunkto, ni petas specifi norman aron de parametroj. Vi povas uzi pasvorton aŭ Radius-servilon kiel aŭtentikigmetodon. La opcio "Permesi aliron de ĉi tiu reto al lokaj retoj" respondecas pri la aliro de viaj sendrataj klientoj al internaj rimedoj, kiuj troviĝas malantaŭ la Check Point NGFW. Post kiam via punkto estas agordita, vi povas ŝanĝi pli da parametroj.
Disponeblaj agordoj
Post kiam la aparato provata konektiĝis al via alirpunkto, ni povas certigi, ke ĝi estas en nia reto, iru al la langeto: Registroj kaj Monitorado → Statuso → Sendrataj Aktivaj Aparatoj
Se ni klakas sur objekto kun nomo, ni vidos la ecojn de la konektita kliento:
Krom informoj pri la aparato, mi konsideras la jenajn utilajn eblojn:
- konservi objekton por uzo en reguloj (1);
- bloki aliron al ĉi tiu kliento (2).
Plue, surbaze de niaj agordoj por Application Blade (en CheckPoint-terminologio, unu el la moduloj), klaki sur potenciale danĝeraj ligiloj estas malpermesita.
Ni provas malfermi unu el la kategorioj en poŝtelefono per konekto per WiFi al la NGFW Check Point kaj, sekve, alirante la Interreton per ĝi.
Konkludo: La uzanto ne povis aliri la retejon, kiu apartenas al la kategorio Anonymizer.
Tiel, ni rigardis la bazan agordon por konekti uzantojn per WiFi; tio estas oportuna en malgrandaj oficejoj kie estas multaj sendrataj aparatoj. Samtempe, la solvo Check Point NGFW permesas vin protekti viajn uzantojn kontraŭ vundeblecoj kaj malica enhavo, kaj vi havas flekseblajn eblojn por monitori sendratajn gastigantojn. Mi ŝatus aparte mencii administradon per poŝtelefona aplikaĵo; la metodo estis priskribita en unu el niaj .
NGFW kaj LTE
Modeloj 1570, 1590 venas kun LTE-modemo, kiu permesas vin uzi Micro/Nano SIM kaj tiel establi 4G-konekton. Por tiuj, kiuj scivolas, ni lasos mallongan memorigilon sub la spoiler.
Instrukcioj por instali SIM
Do vi instalis la SIM, post tio vi devas reveni al Gaia Portal kaj iri al la sekva sekcio Aparato → Reto → Interreto. Defaŭlte, vi havos unu WAN-konekton; vi devas krei novan konekton sekvante la ruĝan sagon.
Kie ni devos agordi la nomon de la konekto, determini la tipon de interfaco (en nia kazo Ĉela)
Aldone, malfermu la langeton "Konekto-Monitorado", ĉi tie eblas aŭtomate sendi: ARP-peton al la defaŭlta itinero, ICMP-pakojn al specifitaj fontoj, mi rimarkas, ke vi povas specifi viajn rimedojn por monitorado.
Tab "Ĉela" respondecas pri elekto de prioritatoj inter SIMoj, enmetante aŭtentikajn datumojn se necese (APN, PIN).
En la langeto «Altnivela» Eblas agordi retajn agordojn:
- agordoj por la interfaco (MTU, MAC)
- QOS
- ISP Redundo
- NAT
- DHCP
Post kiam vi kreos novan konekton, vi trovos tabelon de interretaj konektoj en Aparato → Reto → Interreto:
En la ekrankopio prezentita supre ni vidas novan konekton "LTE_TELE2", kiel vi eble divenis, ĉi tio estas SIM de la Tele2-provizanto. La tablo provizas informojn pri la signala nivelo, montras la procenton de perdoj kaj malfruotempo. Aldone, eblas malfermi la opcion Konekto Monitorado.
En la monitora fenestro ni vidas la rezultojn de sendado de petoj al ĝis tri serviloj, unu el ili estas kutima (ya.ru). Montriĝas ĉi tie:
- procento de perdo de pakaĵeto;
- procento de retaj eraroj;
- responda tempo (mezumo, minimumo kaj maksimumo);
- tremo.
Se vi interesiĝas pri sistemaj informoj pri la LTE-modemo ĉe NGFW Check Point, tiam vi devus iri al Registroj kaj Monitorado→ Diagnozo → Iloj → Monitoro de Ĉela Modemo:
Poste, ni analizis la rapidecon de Interreta aliro por la fina gastiganto, kiu estas konektita al la NGFW per WiFi (5 GHz), kaj la enirejo mem uzas LTE-konekton por sendi pakaĵojn al la Tutmonda Reto. Ni komparis la akiritajn valorojn kun la situacio, kiam la sama geografia loko estas uzata, sed la telefono rekte konektas al Interreto. Por komforto, la rezultoj estas kaŝitaj sub spoiler.
Rezultoj de SpeedTest
Kompreneble, ĉi tiuj indikiloj havas erarojn kaj siajn proprajn karakterizaĵojn, ni prezentu hipotezon: NGFW 1590 plifortigas la potencon de la envenanta ĉela signalo uzante du eksterajn antenojn. Ĉi tiu deklaro estas nerekte konfirmita de la rezultoj de SpeedTest, farita sub la samaj kondiĉoj kaj montrante malpliiĝon de Ping kaj latenteco al la sama rimedo.
Objekto
NGFW+LTE
Poŝtelefono+LTE
Ping (ms)
30
34
Tremoto (ms)
7.2
5.2
Envenanta rapido (Mbp/s)
16.1
12
Elira rapido (Mbp/s)
10.9
2.97
Por taksi la efikecon de la eksteraj antenoj NGFW Check Point 1590, ni mezuris la signalan ricevnivelon, kaj tiam uzante la inĝenieran menuon ni faris similan mezuradon por la telefono. La rezultoj estas prezentitaj sube:
Sekve, la signal-ricevpotencnivelo estas konsiderata plej bona kiam ĝia negativa valoro tendencas al 0. La valoro akirita por la telefono estis (-109 dBm), por la modemo (-61 dBm). Kiu ĝenerale konfirmas nian hipotezon kaj indikas la stabilecon de la LTE-komunikado de la NGFW SMB-familio.
Ĝeneralaj konkludoj
Por resumi la hodiaŭan parton, oni konsideris du teknologiojn: WiFi kaj LTE, kiuj estas subtenataj de la modeloj 1570, 1590 Check Point.
Por malgrandaj oficejoj kaj branĉoj, ne ĉiam eblas instali apartajn sendratajn alirpunktojn, do NGFW helpos organizi sendratan reton, kaj plej grave, protekti tiajn uzantojn.
Koncerne al la LTE-modemo bazita en NGFW, laŭ mi, la sekvaj uzkazoj estos postulataj:
- Manko de kablita konekto al la Interreto. En ĉi tiu kazo, vi estos devigita uzi moveblajn komunikadojn por provizi interretan konekton. Ĉi tiu scenaro ankaŭ estas grava por specifaj kompanioj, kies speco de agado postulas la "poŝtelefonan" lokigon de sia reta infrastrukturo, sendepende de la kondiĉoj (tereno, havebleco de kablaj komunikadoj, ktp.).
- Rezervado de la ĉefa drata alirkanalo. Mi memorigu vin, ke NGFW subtenas laboron kun du SIMoj, ĉi tio pliigas la misfunkciadon de via infrastrukturo en kazo de akcidento kun unu el la kablaj ligoj. Vi ankaŭ povas mane ebligi LTE-konekton, depende de via uzado-scenaro.
. Restu agordita (, , , , ).
fonto: www.habr.com